BM24-002 Kritisk sårbarhet i PAN-OS
Palo Alto varnar om en kritisk sårbarhet i PAN-OS. Sårbarheten har fått maximal CVSS-klassning, 10 av 10. [1]
Sårbarheten (CVE-2024-3400) återfinns i en kommandoinjektion i GlobalProtect-funktionen i PAN-OS. Detta berör specifika versioner av PAN-OS (se nedan) och särskilda konfigurationer, där det då är möjligt för en angripare att köra godtycklig kod med root-behörighet i brandväggen.
Enligt Palo Alto utnyttjas sårbarheten aktivt.
Uppdatering 2024-04-15
Enligt uppdaterad information från Palo Alto [1] kommer säkerhetsuppdateringar för de versioner av PAN-OS som påverkas (PAN-OS 10.2, PAN-OS 11.0 och PAN-OS 11.1) att publiceras löpande under vecka 16. Se mer detaljerad information om hur sårbarheten utnyttjas i blogginlägg från Palo Alto samt Volexity [2, 3].
Uppdatering 2024-04-17
Proof-of-concept-kod för sårbarheten finns nu publicerad. Palo Alto har även justerat informationen kring vilka konfigurationer av produkterna som påverkas [1].
Tidigare meddelade Palo Alto att inaktivering av telemetrifunktioner i enheter var en rekommenderad åtgärd för att begränsa risken för utnyttjande av sårbarheten. I en uppdaterad version står det att telemetrifunktioner inte behöver vara aktiverade för att PAN-OS-brandväggar ska riskera att utsättas för angrepp kopplade till denna sårbarhet. CERT-SE har justerat rekommendationerna nedan till följd av den nya informationen.
Påverkade produkter
Sårbarheten berör följande produkter:
Flera versioner av:
PAN-OS 10.2 (versioner innan 10.2.5-h6, 10.2.6-h3, 10.2.7-h8, 10.2.8-h3 och 10.2.9-h1)
PAN-OS 11.0 (versioner innan 11.0.2-h4, 11.0.3-h10 och 11.0.4-h1)
PAN-OS 11.1 (versioner innan 11.1.0-h3, 11.1.1-h1 och 11.1.2-h3)
Andra versioner av PAN-OS påverkas inte, inte heller Cloud NGFW, Prisma Access eller Panorama-lösningar.
Rekommendationer
CERT-SE rekommenderar att uppdatera sårbara produkter omgående, så snart respektive säkerhetsuppdatering finns tillgänglig. En rekommenderad åtgärd är att undersöka hur GlobalProtect-funktionen är konfigurerad (Network > GlobalProtect > Gateways eller Network > GlobalProtect > Portals). Stäng i så fall av den funktionaliteten. Det finns även en mitigerande åtgärd för användare som har en Threat Prevention-prenumeration. Alla verksamheter som varit sårbara bör även söka efter tecken på intrång. Se mer information i leverantörens instruktioner [1].
CERT-SE tar tacksamt emot information om relaterade incidenter och intrångsförsök.
Källor
[1] https://security.paloaltonetworks.com/CVE-2024-3400